arpwatch: ethernet mismatch

man arpwatch: ethernet mismatch: The source mac ethernet address didn’t match the address inside the arp packet.

Это называется ARP-spoofing (подмена MAC-адреса). Позволяет перехватывать трафик между узлами, которые расположены в пределах одного широковещательного домена.

Получается, что реальный MAC-адрес машины 2:bf:c0:a8:14:f0, но в arp пакетах она почему-то передаёт другой MAC (2:1:c0:a8:14:f0). Ищи проблему на машине 192.168.1.1, возможно, орудует какая-нибудь злобная приблуда.

да всё понятно, что гдето както меняется, но...
топология сетки примерно такая: серваки подключены к Alcatel OS6800 (L3 Switch) с гигабитными портами
к нему подключен одним аплинком Alcatel OS6200 (L2 Switch), а к нему уже аплинками остальные свичи, тоже Alcatel OS6200 Так вот, смотрим таблицу мак адресов на 6200 - 2:1:c0:a8:14:f0 приходит на них на все с аплинка, первый 6200 тоже говорит что с аплинка, тоесть с 6800. И тут два момента непонятных.
Во первых, ни один юзер не подключен к 6800, поэтому фигнёй страдать на его портах типа и некому,
Во вторых, судя по show arp, на 6800 упомянутого мака на его портах нет.... Картина маслом: все 6200 тыкают пальцами в 6800, типа всё от него приходит, а 6800 делает удивленное лицо и разводит руками. Кстати линуксовый сервак на котором запущен arpwatch тоже включен в 6800...
грешу на 6800, может перезагрузить его... но это не так прото, хотелось бы идеи по лучше услышать

еще заметил такие пакеты
http://www.iss.net/security_center/advice/Exploits/Ports/Ethertype/0x886f/def...
похоже чтото не то в сетевых настройках вендового сервака